El plugin Brizy – Page Builder para WordPress es vulnerable a un Traversal de Directorio en todas las versiones hasta, e incluyendo, la 2.4.39 a través del parámetro ‘id’. Esto permite a atacantes autenticados, con acceso de nivel contributor y superior, subir archivos a ubicaciones arbitrarias en el servidor.
La vulnerabilidad CVE-2024-1165 en el plugin Brizy – Page Builder permite a usuarios autenticados con privilegios Contributor o superiores realizar un Traversal de Directorio al utilizar el parámetro ‘id’. Esto significa que un atacante podría cargar archivos maliciosos en ubicaciones fuera del directorio permitido, lo que podría conducir a la ejecución de código arbitrario en el servidor afectado. Para mitigar este problema, se recomienda actualizar el plugin Brizy – Page Builder a la última versión disponible, la 2.4.40, que contiene una corrección para esta vulnerabilidad. Además, se aconseja monitorear de cerca las actividades de los usuarios con privilegios elevados para detectar posibles intentos de explotación.
Es fundamental mantener actualizados todos los plugins y temas de WordPress para evitar posibles riesgos de seguridad. En el caso específico de Brizy – Page Builder, la actualización a la versión 2.4.40 es crucial para cerrar la vulnerabilidad de Traversal de Directorio y proteger la integridad de los sitios web construidos con este plugin.